宜信SDL實(shí)踐：產(chǎn)品經(jīng)理如何驅(qū)動(dòng)產(chǎn)品安全建設(shè)

一、序言

本文從產(chǎn)品經(jīng)理的角度出發(fā)，對(duì)產(chǎn)品經(jīng)理的安全職責(zé)、產(chǎn)品驅(qū)動(dòng)安全的內(nèi)涵、工作內(nèi)容、工作方法、所需安全資源、以及產(chǎn)品經(jīng)理的安全工作量進(jìn)行了分析。希望所有產(chǎn)品經(jīng)理在沒(méi)有心理負(fù)擔(dān)的情況下，有目標(biāo)、有方法、有資源推進(jìn)產(chǎn)品安全建設(shè)。

沛縣網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)成立于2013年到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

二、背景

安全是軟件產(chǎn)品天然屬性的一部分，“無(wú)安全不金融”，對(duì)于金融軟件產(chǎn)品而言，安全尤為重要，因?yàn)榭蛻艨偸悄軌驈母鞣N安全漏洞聯(lián)想到他的金融資產(chǎn)安全和個(gè)人信息安全。以前偶爾會(huì)在一些安全沙龍或峰會(huì)聽(tīng)見(jiàn)同行吐槽，“信息安全說(shuō)起來(lái)重要、做起來(lái)次要、忙起來(lái)不要”。吐槽背后的原因很復(fù)雜，其中很重要的一點(diǎn)是跟產(chǎn)品經(jīng)理安全意識(shí)淡薄、不清楚如何推進(jìn)產(chǎn)品安全建設(shè)有關(guān)，比如不重視產(chǎn)品安全屬性、產(chǎn)品安全需求不明確、產(chǎn)品安全資源不充分、產(chǎn)品安全建設(shè)無(wú)從下手等。本文主要站在產(chǎn)品經(jīng)理的角度，從產(chǎn)品經(jīng)理能力維度出發(fā)，探討產(chǎn)品經(jīng)理如何推動(dòng)產(chǎn)品的安全性建設(shè)。

眾所周知，安全性作為軟件產(chǎn)品的天然屬性，從產(chǎn)品定義與規(guī)劃角度來(lái)看，產(chǎn)品經(jīng)理對(duì)產(chǎn)品安全負(fù)有不可推卸的責(zé)任，但產(chǎn)品經(jīng)理如何履行自己的安全職責(zé)，業(yè)界還沒(méi)有給出一個(gè)清晰可行的行動(dòng)方案。

目前，軟件產(chǎn)品安全需求通常是基于開(kāi)發(fā)人員和安全人員的職業(yè)常識(shí)提出相應(yīng)的解決方案，比如目前業(yè)內(nèi)比較通用的敏感信息五要素分析方法：

這種方法簡(jiǎn)單易行，但往往不能涵蓋所有的敏感信息，比如

• 用戶的多系統(tǒng)用戶數(shù)據(jù)關(guān)聯(lián)ID（超級(jí)ID）。
• 交易過(guò)程中的音視頻等多媒體數(shù)據(jù)。
• 各種非結(jié)構(gòu)化的文檔數(shù)據(jù)，如合同掃描件。
• 用戶的行為畫(huà)像數(shù)據(jù)等內(nèi)容。

這些信息均為有價(jià)值的敏感數(shù)據(jù)，顯然不屬于前述的敏感數(shù)據(jù)范圍，但往往沒(méi)有明確的防護(hù)要求。從特定業(yè)務(wù)場(chǎng)景出發(fā)，產(chǎn)品經(jīng)理對(duì)敏感數(shù)據(jù)范圍及其業(yè)務(wù)價(jià)值最有發(fā)言權(quán)。

三、安全部門(mén)的尷尬

前述的敏感信息五要素分析方法是典型的安全驅(qū)動(dòng)產(chǎn)品的方法，即安全部門(mén)推動(dòng)產(chǎn)品相關(guān)各團(tuán)隊(duì)的安全工作開(kāi)展。這種模式存在很多弊端，比如：

• 安全需求可能不完整，職業(yè)常識(shí)代替不了特定業(yè)務(wù)場(chǎng)景的深度分析；
• 產(chǎn)品各團(tuán)隊(duì)的安全工作資源無(wú)法保證，研發(fā)團(tuán)隊(duì)有理由認(rèn)為安全團(tuán)隊(duì)干擾研發(fā)計(jì)劃，研發(fā)進(jìn)度與資源不變的情況下，額外增加了工作量；
• 安全部門(mén)通常沒(méi)機(jī)會(huì)參與制訂研發(fā)計(jì)劃，產(chǎn)品研發(fā)計(jì)劃與安全脫節(jié)；
• 安全團(tuán)隊(duì)高度依賴話語(yǔ)權(quán)，強(qiáng)制性驅(qū)動(dòng)往往陷入窘境。

（圖1 安全驅(qū)動(dòng)產(chǎn)品）

眾多的安全實(shí)踐表明，安全驅(qū)動(dòng)產(chǎn)品的思路與方法存在眾多弊端，如果反過(guò)來(lái)，產(chǎn)品驅(qū)動(dòng)安全，讓產(chǎn)品經(jīng)理明晰自己的安全職責(zé)、主動(dòng)推動(dòng)產(chǎn)品的安全建設(shè)，就會(huì)產(chǎn)生對(duì)比鮮明的效果。

四、產(chǎn)品驅(qū)動(dòng)安全的合理性

產(chǎn)品驅(qū)動(dòng)安全并非意味著產(chǎn)品經(jīng)理單一角色推動(dòng)產(chǎn)品的安全建設(shè)，而是說(shuō)產(chǎn)品經(jīng)理主動(dòng)承擔(dān)相應(yīng)的產(chǎn)品安全責(zé)任，主動(dòng)與安全部門(mén)一起推動(dòng)產(chǎn)品的安全建設(shè)，由安全驅(qū)動(dòng)產(chǎn)品的單輪驅(qū)動(dòng)轉(zhuǎn)變?yōu)楫a(chǎn)品驅(qū)動(dòng)安全的雙輪驅(qū)動(dòng)。如下圖所示：

（圖2 產(chǎn)品驅(qū)動(dòng)安全）

安全是軟件產(chǎn)品的天然屬性，是產(chǎn)品經(jīng)理職責(zé)的一部分。同時(shí)產(chǎn)品經(jīng)理作為產(chǎn)品規(guī)劃演進(jìn)與研發(fā)資源投入的指揮棒，可以保證研發(fā)團(tuán)隊(duì)在安全上的適度投入。通過(guò)簡(jiǎn)單分析，產(chǎn)品經(jīng)理承擔(dān)產(chǎn)品安全責(zé)任，主動(dòng)推動(dòng)產(chǎn)品安全建設(shè)應(yīng)該是十分合理的邏輯。

五、產(chǎn)品如何驅(qū)動(dòng)安全

產(chǎn)品經(jīng)理有意愿做好產(chǎn)品安全，可能會(huì)問(wèn)如下幾個(gè)問(wèn)題：

• 內(nèi)容方面，產(chǎn)品經(jīng)理需要做哪些安全工作；
• 能力方面，為了完成這些工作，產(chǎn)品經(jīng)理需要具備什么樣的安全能力；
• 方法方面，這些安全工作如何做，才能既兼顧產(chǎn)品業(yè)務(wù)功能研發(fā)與安全，又能保持研發(fā)敏捷性和項(xiàng)目管理流程不變形；
• 安全資源，從安全部門(mén)和其他部門(mén)可以獲取哪些安全支持，來(lái)提升自己和研發(fā)團(tuán)隊(duì)安全工作的效率和效果，降低安全工作的能力門(mén)檻；
• 工作負(fù)擔(dān)，安全工作會(huì)不會(huì)讓產(chǎn)品經(jīng)理很辛苦，影響其工作品質(zhì)和生活品質(zhì)。

為產(chǎn)品經(jīng)理解決了以上問(wèn)題，消除其后顧之憂，產(chǎn)品經(jīng)理才有可能大概率地?fù)肀О踩瑥母旧辖鉀Q研發(fā)與安全間的矛盾。

六、產(chǎn)品經(jīng)理的安全工作內(nèi)容

產(chǎn)品經(jīng)理的安全工作內(nèi)容大致如下：

• 明確產(chǎn)品安全需求；
• 保障安全研發(fā)資源，將安全工作設(shè)定到研發(fā)計(jì)劃中，并分撥足夠的安全研發(fā)資源；
• 推動(dòng)研發(fā)團(tuán)隊(duì)安全能力建設(shè)，確保研發(fā)計(jì)劃中的安全工作執(zhí)行到位;
• 整合周邊安全資源，確保研發(fā)計(jì)劃中的安全工作執(zhí)行到位。

（圖3 產(chǎn)品經(jīng)理的安全工作內(nèi)容）

6.1 明確產(chǎn)品安全需求

產(chǎn)品安全需求是指站在業(yè)務(wù)角度，軟件產(chǎn)品需要滿足的數(shù)據(jù)安全需求、業(yè)務(wù)合規(guī)需求和業(yè)務(wù)連續(xù)性要求，它是業(yè)務(wù)安全需求的一部分。本文描述的產(chǎn)品安全需求通常包括：

• 產(chǎn)品承載的業(yè)務(wù)數(shù)據(jù)安全防護(hù)需求，主要關(guān)注點(diǎn)是業(yè)務(wù)數(shù)據(jù)的機(jī)密性和完整性。
• 產(chǎn)品相關(guān)信息的安全監(jiān)管要求，如等級(jí)保護(hù)、行業(yè)信息安全監(jiān)管等要求。
• 產(chǎn)品承載的業(yè)務(wù)連續(xù)性要求。由于通常由數(shù)據(jù)中心或運(yùn)維部門(mén)統(tǒng)一牽頭實(shí)施該項(xiàng)任務(wù)，本文將不會(huì)展開(kāi)描述該項(xiàng)內(nèi)容。

（圖4 產(chǎn)品安全需求）

6.2 產(chǎn)品數(shù)據(jù)安全需求

產(chǎn)品數(shù)據(jù)安全需求是指系統(tǒng)安全體系應(yīng)確保恰當(dāng)?shù)挠脩粼谇‘?dāng)?shù)臅r(shí)間與地點(diǎn)以恰當(dāng)?shù)耐緩接们‘?dāng)?shù)膭?dòng)作訪問(wèn)恰當(dāng)?shù)臄?shù)據(jù)，確保其承載數(shù)據(jù)的機(jī)密性、完整性和可用性。即系統(tǒng)安全體系應(yīng)確保類似于白名單的合法訪問(wèn)行為清單，只要屬于清單范圍內(nèi)的行為均為合法行為，白名單行為之外的行為都是默認(rèn)不恰當(dāng)?shù)臄?shù)據(jù)訪問(wèn)行為，需要安全措施進(jìn)行預(yù)防，本文稱之為黑名單行為。

由于黑名單行為通常為heikegongji行為，其典型行為的分析與羅列需要較強(qiáng)的gongfang技術(shù)背景，不在業(yè)務(wù)人員和產(chǎn)品經(jīng)理能力范圍之內(nèi)，需要安全專家根據(jù)產(chǎn)品運(yùn)行環(huán)境進(jìn)行分析，所以本文要求產(chǎn)品經(jīng)理明確的產(chǎn)品安全需求通常為其白名單部分，黑名單部分需要產(chǎn)品經(jīng)理組織安全專家和研發(fā)專家配合明確。產(chǎn)品設(shè)計(jì)所包含的各種安全措施主要目標(biāo)就是確保白名單行為一定成功，黑名單行為一定被預(yù)防、監(jiān)控和審計(jì)。

從業(yè)務(wù)安全角度出發(fā)，定義合法數(shù)據(jù)訪問(wèn)行為之后，還需要有數(shù)據(jù)訪問(wèn)行為審計(jì)手段，幫助業(yè)務(wù)確保訪問(wèn)行為的正確性，以及對(duì)違規(guī)的數(shù)據(jù)訪問(wèn)行為進(jìn)行審計(jì)。

（圖5 產(chǎn)品數(shù)據(jù)安全需求）

基于上文分析，白名單行為清單的明確只需要了解業(yè)務(wù)模型相關(guān)信息就可以做到，對(duì)于產(chǎn)品經(jīng)理而言，不存在能力上的門(mén)檻。過(guò)程中產(chǎn)品經(jīng)理需要明確的數(shù)據(jù)包括：

在明確上述信息的過(guò)程中，產(chǎn)品經(jīng)理應(yīng)遵循如下兩個(gè)原則：

設(shè)計(jì)人員可以根據(jù)該白名單進(jìn)行權(quán)限管理與訪問(wèn)控制模型設(shè)計(jì)，測(cè)試人員可以將白名單作為數(shù)據(jù)安全測(cè)試基線，任何違背白名單的測(cè)試發(fā)現(xiàn)均為系統(tǒng)的安全bug，比如：

• 敏感數(shù)據(jù)未脫敏。
• 多余的數(shù)據(jù)操作權(quán)限。
• 橫向或縱向數(shù)據(jù)訪問(wèn)越權(quán)。
• 關(guān)鍵行為的日志痕跡缺失。

6.3 合規(guī)性需求

合規(guī)性需求是指由于系統(tǒng)運(yùn)行地點(diǎn)、服務(wù)網(wǎng)絡(luò)以及客戶所在地區(qū)或國(guó)家相關(guān)部門(mén)，對(duì)服務(wù)提供模式、數(shù)據(jù)安全以及業(yè)務(wù)連續(xù)性提出了限制性要求。目前公司系統(tǒng)所面對(duì)的主要監(jiān)管要求包括：

2019年國(guó)家相關(guān)部門(mén)提出了一系列App收集個(gè)人信息相關(guān)監(jiān)管要求：

在產(chǎn)品經(jīng)理羅列出合規(guī)要求、安全部得到相關(guān)部門(mén)的權(quán)威解釋后，與產(chǎn)品線溝通建議各種安全措施設(shè)計(jì)，將會(huì)在很大程度上滿足IT安全合規(guī)要求。等級(jí)保護(hù)相關(guān)要求為所有系統(tǒng)需要面對(duì)的共通要求，無(wú)需產(chǎn)品經(jīng)理羅列，安全部可以直接解釋。

關(guān)于具體安全需求的定義與維護(hù)方法，筆者將通過(guò)其他文章進(jìn)行說(shuō)明。

七、產(chǎn)品經(jīng)理安全能力分析與建設(shè)

分析產(chǎn)品經(jīng)理的安全工作內(nèi)容，最主要的考驗(yàn)來(lái)自于明確業(yè)務(wù)安全需求的四個(gè)清單。相關(guān)安全能力分析如下表：

產(chǎn)品經(jīng)理其他安全開(kāi)發(fā)工作所需能力分析如下：

綜上所述，產(chǎn)品經(jīng)理要履行相關(guān)安全職責(zé)，必要的能力和素質(zhì)是具有較高安全意識(shí)，能夠理解相關(guān)安全基礎(chǔ)概念，沒(méi)有過(guò)高的能力門(mén)檻，通過(guò)一定的安全培訓(xùn)，產(chǎn)品經(jīng)理完全可以達(dá)到相應(yīng)的能力要求。

八、產(chǎn)品安全研發(fā)方法

針對(duì)目前敏捷開(kāi)發(fā)與DevOps開(kāi)發(fā)普遍落地的情況，安全開(kāi)發(fā)不應(yīng)固守與瀑布開(kāi)發(fā)相結(jié)合的陳舊經(jīng)驗(yàn)。因?yàn)槠俨奸_(kāi)發(fā)周期長(zhǎng)、資源充分，在繁雜的計(jì)劃活動(dòng)中安排一些零星的安全活動(dòng)不會(huì)產(chǎn)生明顯的延期壓力和資源壓力。而敏捷開(kāi)發(fā)和DevOps開(kāi)發(fā)要求快速響應(yīng)用戶需求的同時(shí)，兼顧開(kāi)發(fā)質(zhì)量與效率，如果在迭代計(jì)劃中設(shè)置過(guò)重的安全開(kāi)發(fā)活動(dòng)，迭代和開(kāi)發(fā)容易失去敏捷特性。

為了將安全開(kāi)發(fā)理念在敏捷與DevOps開(kāi)發(fā)中得到貫徹，建議采用如下原則：

• 安全開(kāi)發(fā)活動(dòng)輕量化。輕量化可以通過(guò)工具化、自動(dòng)化來(lái)實(shí)現(xiàn)，盡量減少人工耗費(fèi)大和耗時(shí)長(zhǎng)的安全開(kāi)發(fā)活動(dòng)；
• 安全開(kāi)發(fā)活動(dòng)分散化。將那些短期無(wú)法輕量化處理的安全開(kāi)發(fā)活動(dòng)分解并分散到多個(gè)迭代周期中執(zhí)行；
• 安全開(kāi)發(fā)活動(dòng)并行化。將安全開(kāi)發(fā)相關(guān)活動(dòng)與其他活動(dòng)并行，如shentou測(cè)試通常安排在測(cè)試的最后一個(gè)環(huán)節(jié)，避免單輪次shentou測(cè)試無(wú)法覆蓋那些并行的修復(fù)點(diǎn)，當(dāng)然shentou測(cè)試也可以由多個(gè)輪次來(lái)彌補(bǔ)這種情況，但通常資源不允許。實(shí)際上這種同步修復(fù)導(dǎo)致shentou測(cè)試覆蓋率下降的問(wèn)題，完全可以通過(guò)良好的溝通和團(tuán)隊(duì)文化建設(shè)進(jìn)行彌補(bǔ)。
• 優(yōu)化現(xiàn)有敏捷開(kāi)發(fā)與DevOps相關(guān)的流程與工具平臺(tái)，使得安全專家能夠充分參與項(xiàng)目，提升安全開(kāi)發(fā)溝通效率，快速獲取安全反饋；
• 將安全專家納入到敏捷開(kāi)發(fā)和DevOps文化建設(shè)中來(lái)，信息安全人人有責(zé)，安全專家可以充分發(fā)揮教練員角色和守門(mén)員角色，使得團(tuán)隊(duì)人人有能力履行自己的安全職責(zé)，安全專家在恰當(dāng)?shù)臅r(shí)機(jī)對(duì)安全交付物進(jìn)行質(zhì)量把控；
• 提前進(jìn)行安全基礎(chǔ)設(shè)施規(guī)劃與布局，如身份與權(quán)限管理系統(tǒng)、SSO系統(tǒng)、加解密平臺(tái)與SDK、日志分析與監(jiān)控平臺(tái)、全流量檢測(cè)平臺(tái)等等，使得安全措施標(biāo)準(zhǔn)化、服務(wù)化和平臺(tái)化，降低安全設(shè)計(jì)與編碼的能力門(mén)檻，對(duì)安全基礎(chǔ)設(shè)施的測(cè)試與驗(yàn)證取代設(shè)施所承載應(yīng)用的大部分安全測(cè)試，可以有效消減安全測(cè)試工作量。

對(duì)于一些安全開(kāi)發(fā)活動(dòng)的計(jì)劃安排示例如下：

上表中“多迭代執(zhí)行”指的是按照一定要求，間隔多個(gè)迭代后執(zhí)行一次。關(guān)于多迭代執(zhí)行的安全活動(dòng)需要制訂一個(gè)執(zhí)行基線，該基線無(wú)標(biāo)準(zhǔn)可參考，需要根據(jù)各產(chǎn)品線實(shí)際情況逐漸摸索調(diào)整。

安全活動(dòng)的觸發(fā)場(chǎng)景與基線不是固定的，隨著團(tuán)隊(duì)安全能力與自動(dòng)化、工具化程度的提高，多迭代執(zhí)行的安全活動(dòng)可能轉(zhuǎn)變?yōu)槊康鷪?zhí)行；不是所有識(shí)別出來(lái)的安全活動(dòng)都必須執(zhí)行，一切以控制主要安全風(fēng)險(xiǎn)、不拖迭代項(xiàng)目后腿為基準(zhǔn)。通常安全團(tuán)隊(duì)會(huì)與所有產(chǎn)品經(jīng)理和項(xiàng)目管理進(jìn)行多次溝通，提出一個(gè)多方基本認(rèn)可的安全活動(dòng)觸發(fā)場(chǎng)景與基線表，供產(chǎn)品經(jīng)理參考。

九、產(chǎn)品經(jīng)理獲取安全資源支持

產(chǎn)品經(jīng)理在履行各項(xiàng)安全職責(zé)時(shí)，需要周邊部門(mén)提供的安全服務(wù)與支持包括但不限于：

十、產(chǎn)品經(jīng)理安全工作壓力分析

產(chǎn)品經(jīng)理安全工作壓力分析如下表：

上表描述了產(chǎn)品經(jīng)理可能會(huì)遇到的主要工作內(nèi)容，但并不是全部?jī)?nèi)容。整體而言，會(huì)增加產(chǎn)品經(jīng)理一定的工作量，但不會(huì)構(gòu)成明顯的工作壓力。

十一、小結(jié)

產(chǎn)品經(jīng)理對(duì)產(chǎn)品安全負(fù)有責(zé)任，通過(guò)明確產(chǎn)品安全需求中的白名單指明產(chǎn)品安全目標(biāo)，通過(guò)制訂安全研發(fā)計(jì)劃、推動(dòng)團(tuán)隊(duì)安全能力建設(shè)和協(xié)調(diào)周邊安全資源，實(shí)現(xiàn)產(chǎn)品安全落地。

經(jīng)過(guò)簡(jiǎn)短安全培訓(xùn)后，相關(guān)工作均在產(chǎn)品經(jīng)理能力范疇，工作量不會(huì)對(duì)產(chǎn)品經(jīng)理形成心理壓力，靈活的安全活動(dòng)觸發(fā)標(biāo)準(zhǔn)也不會(huì)影響研發(fā)的敏捷性。筆者在這里衷心期望各位產(chǎn)品經(jīng)理放心大膽、勇往直前地?fù)肀О踩桶踩恳黄鸩粩嗟貙a(chǎn)品安全推向新高潮。

十二、感悟

在筆者的工作經(jīng)歷中，安全部門(mén)為了推動(dòng)安全工作，總是想著法地“抱大腿”，期望借助外力以推動(dòng)安全工作，卻沒(méi)有注意到產(chǎn)品經(jīng)理這個(gè)“大腿”，只需覺(jué)醒其安全意識(shí)，這一“大腿”不僅粗壯有力，而且有著主動(dòng)擁抱安全的強(qiáng)烈動(dòng)因。

安全部與產(chǎn)品經(jīng)理合作，很容易建立基于迭代和開(kāi)發(fā)的常態(tài)化安全落地機(jī)制，而與其他部門(mén)合作，例如合規(guī)或法務(wù)，常常只在特定階段推動(dòng)特定安全工作的落地。建議各位應(yīng)用安全同行和產(chǎn)品經(jīng)理多多交流，因?yàn)椋寒a(chǎn)品經(jīng)理才是我們安全部最需要擁抱的“大腿”！

作者：危國(guó)洪 郭建偉

來(lái)源：宜信技術(shù)學(xué)院

當(dāng)前文章：宜信SDL實(shí)踐：產(chǎn)品經(jīng)理如何驅(qū)動(dòng)產(chǎn)品安全建設(shè)
本文路徑：http://bm7419.com/article24/goeije.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、商城網(wǎng)站、外貿(mào)建站、搜索引擎優(yōu)化、、域名注冊(cè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)